Ransomware: os conselhos de minha avó para evitar sequestro cibernético
Seguindo o raciocínio dela, compartilho recomendações cruciais para qualquer empresa, especialmente PMEs
Líder de segurança LatAm na Amazon Web Services
Publicado em 21 de abril de 2024 às 10h04.
Se fosse medido como um país, o cibercrime seria a terceira maior economia do mundo, atrás apenas dos Estados Unidos e da China, movimentando US$ 8 trilhões. Até 2025, o cibercrime deve movimentar US$ 10,5 trilhões, um crescimento acelerado se comparado com os US$ 3 trilhões de 2015.
Uma boa parte dessa “receita” do crime cibernético vem do sequestro de dados e solicitação de resgate digital, também conhecido como ransomware. Mas esse tipo de ataque acontece apenas com empresas grandes, certo? Vamos por partes.
Antes de trazer mais detalhes, quero enfatizar aos leitores que trabalham em pequenas e médias empresas (PME) e empresários que não parem de ler o artigo aqui, pois vocês podem até achar que esse tipo de ataque só acontece com empresa “grande” e o artigo não lhes serve – ledo engano.
- Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás:abra sua conta na Mynte invista com o apoio de especialistas e com curadoria dos melhores criptoativos para você investir.
Quando criança, me lembro de minha avó me dando três conselhos fundamentais, que segundo ela deveriam ser seguidos à risca a fim de mitigar a chance de eu ser sequestrado ou raptado:
- Não entrar no carro de estranhos
- Não falar com estranhos e especialmente nunca compartilhar meu endereço de destino
- Não aceitar bebidas e doces de estranhos
Agora, caso minha falecida avó me perguntasse hoje o que é um carro de aplicativo, ela provavelmente ficaria abismada ao ouvir minha resposta: “Vó, em resumo, é um carro de um estranho, que me leva para um endereço que eu forneço para ele ou ela antes mesmo de nos conhecermos pessoalmente.
Dentro do carro o estranho ou a estranha me oferece bala e água, que normalmente eu aceito, pois é de graça. E eu ainda vou conversando durante todo o trajeto”.
Na atual conjuntura, em um mundo muito mais digital, os três conselhos dela talvez não sejam mais válidos para evitar um sequestro. Na verdade, pode ser necessário adaptá-los para o contexto correto.
Mas aqui convido o leitor a fazer uma reflexão comigo: se minha avó fosse ainda viva e estivesse presenciando toda essa transformação, esse mundo mais digital, quais seriam os conselhos dela para evitar o sequestro de dados? Aliás, seriam somente três conselhos para se proteger nesse mundo virtual contra essas “novas” ameaças?
O objetivo do artigo de hoje é trazer conselhos práticos de como se prevenir contra os ataques de sequestro de dados, os temidos e conhecidos ataques de ransomware.
Ransomware: um risco crescente
Segundo relatório de um grande fabricante global de soluções de proteção contra ataques de Ransomware, os ataques de sequestro de dados aumentaram 47% nas PMEs em 2023, com um crescimento ainda mais acentuado após o segundo semestre de 2022.
Então espero que nesse momento esteja claro que não, não é um problema que assola somente grandes empresas. Pelo contrário, muitas vezes por terem menor poder de investimento em soluções de cibersegurança as PMEs acabam adotando posturas cibernéticas ainda menos maduras.
Nesse momento é provável então que o leitor esteja se perguntando: mas se eu não tenho muito investimento, o que devo fazer? Rezar? E se o sequestro acontecer? Bom, quando eu era pequeno minha avó falava o seguinte: “Meu filho caso os três conselhos não sejam seguidos e você seja sequestrado, tenha um plano para escapar, fuja, corra, tente se isolar e tenha um número de telefone na cabeça para ligar em caso de emergência (190).
Seguindo o mesmo raciocínio implantado pela minha avó na minha forma de pensar desde criança, vão aqui os três conselhos de minha avó adaptados e fundamentais para qualquer empresa, mas especialmente para as PMEs.
Primeiro:Adote uma solução de proteção contra malwares conhecida e a mantenha o mais atualizada possível. Escolha uma solução reconhecida de mercado e tenha cuidado com soluções gratuitas ou pouco conhecidas. Especialmente para as PMEs, é melhor não se aventurar e adotar uma solução reconhecida pelo mercado. Digamos que essa é a versão adaptada do “Não entre em carros de estranhos”.
Segundo:Ensine os seus usuários a não “falarem” com estranhos digitalmente. Você deve ensiná-los a não clicar em links de emails de desconhecidos, e desconfiar até mesmo de conhecidos (especialmente na era da Inteligência Artificial Generativa, haja visto os casos de Deepfake) por mais tentadores que sejam as ofertas.
Aqui podem ser adotadas ações simples, como campanhas de conscientização internas que podem até mesmo utilizar vídeos de treinamento gratuitos na internet. Você encontra exemplos nos sites Internet Segura do NIC.br e de cibersegurança da Amazon.
Digamos que essa é a versão adaptada do “Nunca fale com estranhos”. O mais importante é falar dos riscos e tornar isso parte do dia-a-dia dos usuários.
Terceiro:Em caso de sequestro dos dados não pague o resgate; afinal, ao pagar você estará incentivando e alimentando o crime cibernético organizado. Essa seria a adaptação do “Não aceite doces de estranhos”. Mesmo que você tome a decisão de pagar, você não tem nenhuma garantia de que o dado será recuperado.
Conheço vários casos em que empresas e usuários pagaram e o dado não foi recuperado, e além disso o pagamento não garante que o “sequestrador” não vá usar indevidamente ou publicar os dados em algum momento.
Mas seguindo os conselhos modernos adaptados da vovó, é garantido que você leitor não terá um problema? A resposta direta é não. Mesmo ao adotar muito mais que essas três medidas mencionadas acima, ainda que você tivesse budget (investimento) infinito para cibersegurança, não existe risco zero. Adotar essas três medidas fundamentais e até mesmo outras complementares diminui o risco, mas não o elimina.
É por isso que deixo aqui uma última analogia baseada nos ensinamentos de minha avó. Você se recorda qual era o conselho dela caso eu não seguisse os três primeiros conselhos, ou mesmo se seguisse e fosse raptado? O que minha avó dizia era: “Meu filho, caso você seja sequestrado, já tenha na sua cabeça um plano para escapar”. Isso mesmo, minha avó já me ensinava como ter um plano de contingência caso tudo desse errado.
Seguindo novamente o racional da minha querida avó, devemos definir de forma objetiva um plano a ser executado caso tudo dê errado. Então tenha um backup que realmente funciona, salve seus dados de forma que você possa garantir que eles não serão destruídos, danificados ou criptografados indevidamente.
Atualmente com a tecnologia de nuvem é possível fazer isso de uma forma muito mais barata, transparente e confiável.
Pergunte ao seu provedor de serviços como você pode aumentar o nível de proteção dos seus dados e do seu backup. E se por acaso você ainda não estiver utilizando a nuvem (pelo menos para o backup), recomendo começar a considerar o uso agora.
Por fim, assim como minha avó me mandava decorar um número de emergência, eu recomendo que você tenha um número de uma empresa, consultor ou amigo para ligar em caso de emergência. Não espere o problema acontecer para lembrar que precisa falar com uma empresa especializada pois precisa de ajuda.
Agora, se você quiser melhorar ainda mais o conselho de minha avó para ter um plano de contingência, teste o plano.
Da mesma forma que você e sua empresa fazem um exercício de evacuação preventiva de incêndio (pois você não quer descobrir que não sabe sair do prédio no dia do incêndio), faça também simulações de ataque cibernético, considere treinar os procedimentos de recuperação de backup, sistemas críticos, como fazer contato com provedores de serviço e consultores que podem ajudar, facilitando assim a “evacuação” em caso de ataque de sequestro de dados.
Se você esqueceu de tudo o que eu disse, lembre-se dos conselhos da minha avó, adaptados para o mundo digital atual:
- Não use soluções de proteção desconhecidas
- Ensine seus usuários a não “falarem” com estranhos
- Não aceite as promessas (os doces) do sequestrador de dados, portanto não pague o resgate.
- Tenha um plano de fuga (contingência) em caso de sequestro de dados e pratique.
Não deixe de visitar os artigos anteriores caso tenha interesse em se aprofundar em temas relacionados ao uso da nuvem, tecnologia, segurança e IA generativa.
Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás:abra sua conta na Mynte invista com o apoio de especialistas e com curadoria dos melhores criptoativos para você investir.
Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok